IT-beveiliging in scholen: zo hou je het veilig
De digitalisering van scholen gaat de afgelopen jaren hard: online leerplatformen, toetsen, ouderplatformen, het gebruik van digitale toestellen, … Hoe zit het met de beveiliging daarvan?
Dit artikel maakt deel uit van een artikelreeks over kostenefficiënt investeren in IT. Elke week tot eind oktober 2025 voegen we wekelijks een nieuw artikel toe. Je kan het huidige overzicht hier terugvinden.
Scholen werken steeds vaker in een digitale omgeving, zeker na de ICT-boost door Digisprong. Dat werkt ongetwijfeld gemakkelijker voor zowel leerlingen als leerkrachten, maar de digitalisering maakt scholen ook een interessant doelwit voor cybercriminelen. Daarom is het belangrijk om voldoende in te zetten op digitale (netwerk)beveiliging.
De basisbeginselen van netwerkbeveiliging
De staat van je firewall
Hoelang is het geleden dat je je firewall nog eens onder de loep hebt genomen? Een firewall dient om jouw apparaten en netwerk te beschermen van binnenkomende en uitgaande verbindingen, en controleert of blokkeert indien nodig internetverkeer via IPS, IDS of DNS-filtering. Met een sterke firewall wordt het voor cybercriminelen al een pak moeilijker om binnen te dringen en een cyberaanval uit te voeren.
Gelukkig zit er in de meeste moderne besturingssystemen een automatische firewall ingebouwd, zoals Windows Defender Firewall of Mac Firewall. Zogenaamde ‘next gen firewalls’ hebben meer mogelijkheden dan traditionele firewalls, en ze blijven continu evolueren. Zo kunnen ze verdachte apps blokkeren, bijhouden wie toegang heeft of wilt tot jouw netwerk, dreigingen oplijsten en proactief beveiligingstechnieken voorstellen.
Netwerksegmentatie
Als je naar het aantal verbonden apparaten kijkt in een school, is het voor IT-teams makkelijk om een duidelijk overzicht te hebben als er iets misgaat. Daarom is netwerksegmentatie zeker geen overbodige luxe. Dat wil zeggen dat je je netwerk opdeelt in kleinere delen of segmenten. Denk aan een segment voor leerkrachten, leerlingen, gasten en slimme apparaten.
Dankzij netwerksegmentatie deel je het netwerk op in kleinere delen of segmenten.
Die verdeelde segmenten zorgen voor een kleinere impact van een eventueel beveiligingsprobleem. Je kan ook gemakkelijk bepalen welke apparaten welke applicaties (niet) mogen gebruiken, domeinen al dan niet bezoeken en toegang krijgen tot een bepaald netwerkdeeltje.
Beveiligen van endpoints
Een endpoint is elk apparaat dat communiceert met je schoolnetwerk. Dat gaat dus over laptops, desktops, tablets, servers, printers, camera’s, … Elk van die punten kan een mogelijk toegangspunt zijn voor cybercriminelen.
Apparaten van leerkrachten en in klaslokalen moeten beheerd worden om een optimale beveiliging te garanderen. Daar zijn gespecialiseerde tools voor, zoals Intune of Google Admin.
Die schakelen onder meer automatische updates in voor alle apparaten, analyseren gedrag, stellen een policy in voor webbrowsers en bepalen welke applicaties wel of niet geïnstalleerd of gebruikt mogen worden. Examenlaptops kunnen bijvoorbeeld een verbod hebben op generatieve AI-applicaties en het gebruik van USB-sticks.
Examenlaptops kunnen bijvoorbeeld een verbod hebben op generatieve AI-applicaties en het gebruik van USB-sticks.
Dankzij een goed endpointdetectie- en respons (EDR)-beleid zijn alle eindpunten gemonitord op verdachte activiteiten en eventuele dreigingen. Moest er toch iets misgaan, kan je altijd vertrouwen op een back-up. Stel die wekelijks of maandelijks in en controleer of ze werken.
XLR, MDR of iets anders?
We zoomen nog dieper in op endpointbeveiliging. Je kan als school kiezen uit drie opties: XDR, MDR of SIEM.
- XDR (Extended Detection and Response) bundelt signalen van e-mail, toestellen en netwerk in één dashboard. Dat zorgt alweer voor een beter overzicht waardoor je indien nodig snel kan ingrijpen. Het grootste nadeel is dat er iemand dagelijks naar moet kijken.
- MDR (Managed Detection and Response) is XDR met een extern bedrijf dat meekijkt: een gespecialiseerd team dat 24/7 meekijkt, waarschuwt en binnen afgesproken grenzen meteen ingrijpt. Je hoeft dus niemand intern op XDR te zetten.
- SIEM komt neer op het bijhouden, bewaren en koppelen van alle gegevens voor analyse en audits. Dat is uiteraard nuttig, maar zonder juiste en regelmatige opvolging mis je nog steeds alarmsignalen.
Advies voor scholen: heb je geen persoon of team dat elke dag securityalarmen opvolgt? Dan is MDR vaak de beste keuze want je koopt jezelf rust en krijgt een extra paar ogen met snelle reactietijd. Heb je wél interne opvolging, dan is XDR een mooie stap.
Zelfbeheer of uitbesteden?
Je kan bepaalde dingen gerust intern houden in plaats van ze uit te besteden. Bijvoorbeeld het opstellen van een beveiligingsbeleid, de beheertool configureren, het gebruik van veilige wachtwoorden en multi-factor authenticatie (MFA) stimuleren, en een kort noodplan opstellen van wat te doen als de school toch slachtoffer is van een cyberaanval.
Een ICT-coördinator of team kan gerust de basisbeveiliging op zijn rekening nemen, maar kan moeilijk ’s nachts in gang schieten.
Als je voor de meest geavanceerde cyberbeveiliging kiest, is het slim om een extern bedrijf, ofwel Security As a Service (SECaaS), te overwegen. Het grootste euvel voor scholen van het uitbesteden van beveiliging is de kost. Scholen hebben vaak grote netwerken die geavanceerde beveiliging nodig hebben. De firewall onderhouden, audits uitvoeren, 24/7 MDR, back-ups maken en testen en controleren, … Er komt wel wat bij kijken.
Een ICT-coördinator of team kan gerust de basisbeveiliging op zijn rekening nemen, maar kan moeilijk ’s nachts in gang schieten. Laat daarom de meer geavanceerde beveiligingstechnieken over aan een externe partner. Scholengroep Sint-Paulus kan als inspiratiebron dienen om de knoop door te hakken.
Dit is een redactionele bijdrage geschreven in samenwerking met Telenet. Voor meer informatie kan je hier terecht. Dit artikel is onderdeel van een artikelreeks rond kostenefficiënt investeren in IT op school. Je vindt eerder verschenen artikelen hier.